Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Demandes
Amazon S3 est un REST service. Vous pouvez envoyer des demandes à Amazon S3 à l'aide des bibliothèques wrapper REST API ou AWS SDK (voir Sample Code and Libraries
Chaque interaction avec Amazon S3 est authentifiée ou anonyme. L'authentification est un processus de vérification de l'identité du demandeur essayant d'accéder à un produit Amazon Web Services (AWS). Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l'expéditeur de la demande. La valeur de signature est, en partie, générée à partir des clés d' AWS accès du demandeur (ID de clé d'accès et clé d'accès secrète). Pour plus d'informations sur l'obtention des clés d'accès, consultez Comment puis-je obtenir les informations d'identification de sécurité ? dans le Références générales AWS.
Si vous utilisez le AWS SDK, les bibliothèques calculent la signature à partir des clés que vous fournissez. Toutefois, si vous passez des REST API appels directs dans votre application, vous devez écrire le code pour calculer la signature et l'ajouter à la demande.
Rubriques
À propos des clés d'accès
Les sections suivantes examinent les types de clés d'accès que vous pouvez utiliser pour effectuer des demandes authentifiées.
Compte AWS clés d'accès
Les clés d'accès au compte fournissent un accès complet aux AWS ressources détenues par le compte. Voici quelques exemples de clés d'accès :
-
ID de clé d'accès (chaîne alphanumérique de 20 caractères). Par exemple : AKIAIOSFODNN7EXAMPLE
-
Clé d'accès secrète (chaîne de 40 caractères). Par exemple : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
L'ID de clé d'accès identifie de manière unique un Compte AWS. Vous pouvez utiliser ces clés d'accès pour envoyer des demandes authentifiées à Amazon S3.
IAMclés d'accès utilisateur
Vous pouvez en créer un Compte AWS pour votre entreprise ; toutefois, plusieurs employés de l'organisation peuvent avoir besoin d'accéder aux AWS ressources de votre organisation. Le partage de vos clés Compte AWS d'accès réduit la sécurité, et il n'est peut-être pas pratique de créer une clé individuelle Comptes AWS pour chaque employé. De plus, vous ne pouvez pas facilement partager des ressources comme les compartiments et les objets car elles appartiennent à différents comptes. Pour partager des ressources, vous devez accorder des autorisations, ce qui représente du travail en plus.
Dans de tels scénarios, vous pouvez utiliser AWS Identity and Access Management (IAM) pour créer des utilisateurs sous votre nom Compte AWS avec leurs propres clés d'accès et associer des politiques IAM utilisateur qui accordent les autorisations d'accès aux ressources appropriées à ces utilisateurs. Pour mieux gérer ces utilisateurs, vous pouvez IAM créer des groupes d'utilisateurs et accorder des autorisations au niveau du groupe qui s'appliquent à tous les utilisateurs de ce groupe.
Ces utilisateurs sont appelés IAM utilisateurs que vous créez et gérez au sein de ce groupe AWS. Le compte parent contrôle la possibilité de l'utilisateur à accéder à AWS. Toutes les ressources créées par un IAM utilisateur sont contrôlées et payées par le parent Compte AWS. Ces IAM utilisateurs peuvent envoyer des demandes authentifiées à Amazon S3 à l'aide de leurs propres informations de sécurité. Pour plus d'informations sur la création et la gestion des utilisateurs sous votre Compte AWS nom, rendez-vous sur la page détaillée AWS Identity and Access Management
du produit
informations d’identification de sécurité temporaires
En plus de créer des IAM utilisateurs dotés de leurs propres clés d'accès, vous pouvez IAM également accorder des informations de sécurité temporaires (clés d'accès temporaires et jeton de sécurité) à n'importe quel IAM utilisateur pour lui permettre d'accéder à vos AWS services et ressources. Vous pouvez aussi gérer des utilisateurs dans votre système hors d AWS. Ces dernières sont appelées utilisateurs fédérés. En outre, les utilisateurs peuvent être des applications que vous créez pour accéder à vos AWS ressources.
IAMvous permet de AWS Security Token Service API demander des informations d'identification de sécurité temporaires. Vous pouvez utiliser le AWS STS API ou le AWS SDK pour demander ces informations d'identification. Le API renvoie des informations de sécurité temporaires (ID de clé d'accès et clé d'accès secrète) et un jeton de sécurité. Ces informations d'identification sont uniquement valides pour la durée que vous spécifiez lorsque vous les demandez. Vous utilisez l'ID de clé d'accès et la clé secrète de la même manière que lorsque vous envoyez des demandes à l'aide de vos clés IAM d'accès Compte AWS ou de celles de l'utilisateur. De plus, vous devez inclure le jeton dans chaque demande que vous envoyez à Amazon S3.
Un IAM utilisateur peut demander ces informations d'identification de sécurité temporaires pour son propre usage ou les distribuer à des utilisateurs fédérés ou à des applications. Lorsque vous demandez des informations d'identification de sécurité temporaires pour des utilisateurs fédérés, vous devez fournir un nom d'utilisateur et une IAM politique définissant les autorisations que vous souhaitez associer à ces informations d'identification de sécurité temporaires. L'utilisateur fédéré ne peut pas obtenir plus d'autorisations que l'IAMutilisateur parent qui a demandé les informations d'identification temporaires.
Vous pouvez utiliser ces informations d'identification de sécurité temporaires pour effectuer des demandes auprès d'Amazon S3. Les API bibliothèques calculent la valeur de signature nécessaire à l'aide de ces informations d'identification pour authentifier votre demande. Si vous envoyez des demandes en utilisant des informations d'identification expirées, Amazon S3 les rejette.
Pour plus d'informations sur la signature de demandes en utilisant des informations d'identification de sécurité temporaires dans vos REST API demandes, consultezSignature et authentification des demandes REST. Pour plus d'informations sur l'envoi de demandes à AWS SDKs l'aide deDemandes à l'aide des kits SDK AWS.
Pour plus d'informations sur la IAM prise en charge des informations d'identification de sécurité temporaires, consultez la section Informations d'identification de sécurité temporaires dans le guide de IAM l'utilisateur.
Pour plus de sécurité, vous pouvez exiger l'authentification multifactorielle (MFA) lorsque vous accédez à vos ressources Amazon S3 en configurant une politique de compartiment. Pour plus d’informations, veuillez consulter Exiger MFA. Une fois que vous avez besoin d'accéder MFA à vos ressources Amazon S3, la seule façon d'accéder à ces ressources est de fournir des informations d'identification temporaires créées à l'aide d'une MFA clé. Pour plus d'informations, consultez la page détaillée de l'AWS authentification multifactorielle
Points de terminaison de demande
Vous envoyez des REST demandes au point de terminaison prédéfini du service. Pour obtenir la liste de tous les AWS services et de leurs points de terminaison correspondants, accédez à Régions et points de terminaison dans le. Références générales AWS